Blockierte Antivirenseiten
 

Liebe Forengemeinde,

Vor einigen Tagen habe ich mit Malwarebytes oder AntiVir einen Virus scheinbar restlos beseitigt und mich nicht weiter drum gekümmert. Einfrieren des Browsers (Mozilla Firefox 3.5.3) und andere Unpässlichkeiten waren behoben und alles funktionierte wieder, vorerst ...
Leider musste ich bald feststellen, dass noch immer Antiviren-Seiten blockiert werden, zb. Malwarebytes.org oder der Update vor a2, den ich als nächstes probiert habe. Der Update für AntiVir scheint aber tadellos zu funktionieren. Ist dieses Problem lösbar, ein Neuaufsetzen wollte ich mir natürlich ersparen, wenn geht. Hier im Anhang mein frisches HJT File, ich habe nicht die Erfahrung es zu analysieren und hoffe auf Eure Hilfe
danke Major, Graz/AT

System AMD Duron, SIS-Chipsatz, Win XP SP2

Hallo und :hallo:

Hast Du das MalwareBytes Logfile noch? Wenn ja bitte posten.
Mach auch bitte Logfiles mit RSIT

Hallo Cosinus,
Danke für die schnelle Reaktion!
Leider hab ich Malwarebytes deinstalliert, nachdem kein Update mehr ging, um a2 zu pobieren, war wahrscheinlich dumm ... jedenfall ist kein Log mehr zu finden. Im Anhang das RSIT Log und Info

grüße Major

Hallo Cosinus,

War jetzt einige Tage unterwegs und konnte nichts am PC machen.
Lässt sich aus dem RSIT etwas ablesen oder sind weitere Diagnosen notwendig?
Wäre es sinnvoll die neuesten Malwarebytes Signaturen manuell zu übertragen oder bringt das nichts?
Ich will die Hoffnung noch nicht aufgeben. Außerdem: wie sichert man bei einer Neuinstallation vorher die Daten, ohne den Virus weiterzuschleppen?

Danke und Grüße
Major

Sry, hab Deinen Strang übersehen.

Bei diesem Eintrag wundern mich blockierte AV-Seiten nicht. Du hast Dir irgendeinen Schädling installiert, der die DNS-Konfiguration umgebogen hat, Namensauflösung macht nun die Ukraine für Dich :D

Mach noch mal bitte einen Durchlauf mit einem akutellen MalwareBytes und poste das Logfile.

Danke Cosinus,
das ist schon beunruhigend. Was machen diese Namensauflöser so? Passwörter auspionieren etc?
Kann erst morgen Suchlauf mit Malwarebytes machen.
Nochmals die Frage: Ist es sinnvoll die neuesten Signaturen manuell einzuspielen, da ich kein Onlineupdate machen kann?

lg Major

Moin,

Du möchtest Dich erkundigen was DNS ist :rolleyes: => Domain Name System ? Wikipedia

Kurz gesagt: Wenn Du eine Adresse im Internet wie zB "www.example.com" kann der Rechner so nichts damit anfangen, er "fragt" bei dem DNS-Server nach, der eingestellt ist, üblicherweise der von Deinem Provider, muss aber nicht zwangsläufig so sein. Man kann auch andere verwenden. Also er fragt beim DNS-Server nach welche IP-Adresse example.com hat, der DNS-liefert ihm diese Adresse und Dein Rechner kommt auf diese Seite.

Nun hast Du aber einen bösen DNS-Server von kriminellen Organisationen aus der Ukraine. Du surfst diesmal Deine Bankseite für Onlinebanking (zb www.sparkasse.de: Homepage) an, Dein Rechner kennt die IP-Adresse nicht und fragt den DNS-Server aus der Ukraine (der nunmal eingestellt ist). Der liefert Deinem Rechner aber nicht die "echte" IP-Adresse der Sparkasse, sondern eine andere Adresse, die nicht zur Sparkassen-Seite, sondern zu einer gefälschten Seite führt.

In dem Irrglauben, Dich auf der echten Seite zu befinden, schließlich hast Du ja die korrekte Seite sparkasse.de eingegeben, gibst Du alle Deine Daten wie PINs und TANs preis. :balla:

Und ja, Du kannst mit MalwareBytes die Sigs auch manuell einspielen. Nur aktuelle Signaturen machen Sinn!

Danke Cosinus,

Die Grundzüge des IP-Systems waren mir schon klar, ich bin ja auch schon seit 15 Jahren Internetnutzer, aber was mir nicht ganz einleuchten will: Wenn er mich auf eine gefälschte Seite führt, wie können dort meine richtigen Daten, Kontostände, ausgeborgten Bücher etc. aufscheinen -- Das ist mir schleierhaft.

Noch eine naive, nur theoretische Frage: Man kann diese Regeinträge usw nicht einfach manuell löschen bzw. eliminieren?
Ich versuchs morgen mit dem Malwarebytes und gebe dann Bescheid
vielen Dank bis dahin
Major

Von ganz alleine durch Zauber erscheinen natürlich nicht Deine korrekten Daten, das ist ja klar. Aber eben in dem Irrglauben, dass Du auf der richtigen Seite bist, gibst Du Deine Login- und Transaktionsdaten ein, das meinte ich.

Es ist leider nicht nur mit dem Löschen von ein oder zwei Einträgen getan.
Außerdem muss man schädliche Einträge/Dateien/Objekte/whatever erstma finden und nach einer Bereinigung weiß man eigentlich nicht wirkich, ob man auch sicher alles erwischt hat.
Darum, wer 100% sicher gehen will oder muss, der fackelt nicht lange rum und löscht hier und da was, sondern macht gleich alles platt und begibt sich zur Neuinstallation.

Mach aber erstmal noch nen Durchlauf mit MalwareBytes und poste das Logfile.

Lieber Cosinus,

Anbei als Anhang das Malwarebyteslogfile, er listet die Redirektoren mehrfach auf, wie gefährlich der Rest ist, wirst Du mir vielleicht sagen können :rolleyes:
Außerdem steht bei Malwarebytes auf der IgnoreListe ein Eintrag, ist das verdächtig?
Er lautet: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityCenter |Bad: (1) Good: (0)

PS.: Natürlich habe ich vorerst alles mal so gelassen, um nicht noch mehr Unheil anzurichten
danke einstweilen, Grüße
Major

Die MalwareBytes-Funde bitte alle ausnahmslos löschen lassen.


Danach bitte ein Durchlauf mit Combofix:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Danke Cosinus,

Alles klar, mach ich heute abend dann, aber eine Frage zu deinem Punkt:


Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung


1. Versteh ich das richtig: zuerst Combofix runterladen, dann CC ausführen und dann erst Combofix?

2. Wie deaktiviere ich das Antivir etc., mit Prozesse beenden im Tasmanager geht das ja nicht, *schäm*

3. Was ist mit dem erwähnten Ignoreeintrag bei malwarebytes, ist der kritisch?
Er lautet: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityCenter |Bad: (1) Good: (0)

grüße
Major

1.) Ja, so ist es richtig.
2.) Der Eintrag ist nur für das Sicherheitscenter relevant. Ist mir aber noch nicht untergekommen, dass der auf der Ignoreliste steht, wird schon seine Gründe haben.

Wichtig ist jetzt erstmal Combofix, um den Kleinkram sollte man sich später kümmern.

Hallo Cosinus,


Habe alles genau befolgt, das Ergebnisfile des Cofi hänge ich als Text an, ich hoffe das passt Dir so,

Grüße
Major

Hallo Cosinus,

Malwarebytes-Update funktionierte im Anschluss klaglos, habe sofort noch einen Suchlauf gemacht und Folgendes gefunden, und vorerst so gelassen:

Infizierte Dateien:
C:\Qoobox\Quarantine\C\cleanup.exe.vir (Trojan.Banker) -> No action taken.
C:\System Volume Information\_restore{CB314E2D-EF8A-460F-8671-8473263EF599}\RP4\A0004541.exe (Trojan.Banker) -> No action taken.